Nombreux sont ceux qui piratent les sites WordPress via les identifiants. Garder le contrôle sur les différents identifiants et rôles d’utilisateurs est vital dans la protection de votre site, à la fois pour les menaces extérieures et intérieures. Même si les personnes auxquelles vous avez donné des droits d’accès ne devraient pas faire quelque chose d’horrible à votre site intentionnellement, ils pourraient accidentellement changer les paramètres ou supprimer des choses si elles ont accès à trop de zones auxquelles elles n’ont pas besoin d’accéder. Voici quelques conseils pour garder votre site WordPress sécuritaire à travers les identifiants et rôles.
Assurez-vous que tous les utilisateurs utilisent des mots de passe puissants
Cela devrait être ancré dans la tête de tous ceux qui utilisent un ordinateur, peu importe la raison – tout le monde se doit d’utiliser un mot de passe puissant. Les mots de passe devraient être longs avec au moins huit caractères et inclure une lettre majuscule, une minuscule et un nombre. Vous pourriez aussi exiger à vos utilisateurs d’inclure un caractère spécial, mais certaines personnes pensent que cela va un peu trop loin. Tout dépend de ce qu’inclut votre blog WordPress et à quel point vous avez besoin de le sécuriser.
Changez votre nom d’utilisateur administrateur WordPress
Lorsque vous installez WordPress, l’identifiant administrateur par défaut sera « admin ». Puisque c’est par défaut, tout le monde le connaît. En fait, il y a certains virus et autres hacks qui visent l’utilisateur admin, donc c’est une très bonne idée de changer cet identifiant dès que possible. Même ajouter un numéro à la fin vous aidera à conserver votre site relativement sécuritaire.
Contrôlez l’accès à votre site
Créez des rôles d’utilisateur et limitez-en l’étendue. Tout le monde n’a pas besoin d’accéder à la totalité de votre site WordPress. Par exemple, les personnes qui contribuent seulement aux blogs devraient uniquement pouvoir ajouter ou modifier leurs propres entrées. Ils ne devraient pas pouvoir changer les articles des autres utilisateurs, changer le thème du site, ou ajouter/supprimer les différents widgets. Personne autre que l’administrateur du site ne devrait avoir des privilèges d’administration complète. Souvenez-vous aussi qu’il n’est pas nécessaire de donner accès au panneau de configuration du site à tout le monde; donc si quelqu’un ne nécessite pas d’avoir un identifiant, il n’y a aucune raison de lui en donner un.
Supprimez les anciens identifiants
Lorsque quelqu’un quitte votre entreprise ou n’a plus besoin d’avoir accès à votre site WordPress, supprimez son identifiant dès que possible. Cela aidera à conserver votre liste d’identifiants sous contrôle, et empêchera toute personne qui n’est plus associée au site d’avoir accès et de changer quoi que ce soit.
Protégez votre site avec .htaccess
Utiliser le fichier .htaccess vous aidera à protéger votre site des tentatives de connexion non autorisées. Il est tout à fait possible que votre site devienne indisponible dû au nombre de connexions non autorisées qui sont effectuées les unes après les autres. Utiliser un fichier .htaccess peut aider à bloquer certaines de ces connexions non autorisées. Par exemple, vous pouvez préciser que seulement les utilisateurs d’une adresse IP spécifique peuvent se connecter au serveur. Vous pouvez aussi créer des identifiants référés de confiance (ceux qui viennent de votre domaine). La méthode qui fonctionne le mieux pour votre site dépendra de plusieurs facteurs, incluant si vous avez une adresse IP statique ou dynamique.
